「修正方法」ビュー
AppScan® ソース・セキュリティー・ナレッジベース・データベースでは、それぞれの脆弱性について、コンテキスト固有の情報が提供されます。ナレッジベース・データベース によって、脆弱性の内容、安全ではない理由、解決方法、および今後回避する方法を知ることができます。ソース・コードをスキャンすると、ナレッジベース・データベース はミッション・クリティカルなアプリケーションからリスクを排除するために必要な固有情報を提供します。「修正方法」ビューには、ナレッジベース・データベース の修復のアドバイスが表示されます。スキャンすると、ナレッジベース・データベース はミッション・クリティカルなアプリケーションからリスクを排除するために必要な固有情報を提供します。
ナレッジベース・データベース を表示して修復のアドバイスを得るには
- 検出結果表内の 1 つの検出結果を選択し、ナレッジベース・データベース のヘルプか「修正方法」ビューを開きます。
- AppScan Source for Analysis では、メニューからを選択して、ナレッジベース・データベース 全体を表示することもできます。
データベース内の特定の API は、重大度レベルおよび重大度タイプをリストします。例えば、strcpy() という API (バッファー・オーバーフロー・タイプ) は、重大度レベルが「高」です。strcpy() では、出力先バッファーの長さを認識しないため、出力先バッファーが上書きされないようにするためのチェックを実行できないことから、出力先バッファーでのオーバーフローが起こりやすくなると説明されています。長さのパラメーターをとる strncpy () を使用して、この問題を解決してください。
検出結果に、関連する共通脆弱性タイプ一覧 (CWE) ID がある場合、「修正方法」ビューから、http://cwe.mitre.org/data/definitions/<CWE_ID>.html にある CWE のトピック (CWE: <id>) へのハイパーリンクが表示されます。